Informazioni personali

Cerca nel blog

Translate

lunedì 24 agosto 2020

IT o Security e\o Privacy?

Incomincio ad avere dei seri problemi quando si parla di security, privacy o GDPR. Il problema nasce dal fatto che diventa fin troppo, a me, evidente che ci si ostina a dare alla sicurezza informatica i compiti di pulizia e sistemazione delle dementi idee partorite in ambito IT (e non solo).

Quello che voglio dire è che security operation e it security o cyber security, privacy e GDPR compliance non devono coprire demenze by deign e by default costruite da idee IT deliranti figlie di soggetti che non hanno capito nulla (nella migliore delle ipotesi), di cosa sia la digitalizzazione

Basta dare alla cybersecurity il compito di coprire deficienze e incompetenze di IT, HR, ed altri compartimenti della azienda. Visti lauti stipendi e responsabilità gerarchiche che tutti inizino a prendersi le proprie resonsabilità. Se non volete farlo, tenete presnte che i recenti orientamenti giuridici sono allienati al mio pensiero, ed in caso di probelmi (non se ma quando) avrete da spiegare le vostre illuminate posizioni ed idee davanti ad un giudice.

Non potete pretendere che responabili CISO e Privacy sappiano tutto, e pagarli, e fornirgli risorse, in maniera ridicola.

Pretendete che gli esperti di security e privacy sappiano di programmazione, prodotti, psicologia, business, legge ma poi non gli riconscete competenze e, sopratutto, fate come vi pare indipendentemente dalle loro indicazioni, ammesso e non concesso che abbiate scelto soggetti relamente indipendenti e competenti.

Duro?

Non abbastanza, se dovessi dire quello che realmente penso prrobabilmente alcuni si potrebbero persino offendere: da CISO che riportano a IT o HR o security manager che hanno esperienza SOLO nella configurazione di firewall ho una secuela di acefale bestialità che non si contano.

Non è la prima volta che esprimo questo concetto, ma recentemente con l’esigenza di home-working venuta fuori a causa del covid e con il crescere del ransomware e phishing la cosa ha assunto problematiche bibicle.

Cerchiamo di capirci, l’IT securtity NON ha il compito di coprire e rimediare le idiozie di disegno di reti e processi pensate da persone, quando va bene, in morte cerebrale.

Se non hai disegnato una politica di backup degna di questo nome non è un probelma di security ma un problema di ignoranza assoluta della questione.

Se le tue password amministrative le sanno anche i criceti non è un problema di security, ma di ottusità alla ennesima potenza.

Se nel codice che hai scritto password e database sono accessibili a chiunque non è un problema di security, è un probelma di incompetenza epigastrica su come si deve scrivere codice.

Se i pagamenti possono essere gestiti da una email senza ulteriori controlli, te lo sei cercato perchè evidentemente non hai idea in che mondo vivi o hai disegnato processi VOLUTAMENTE equivoci per coprire comportamenti non leciti.

Basta dare alla security responsabilità di coprire le idiozie di disegno, implementazione e gestione dei processi e funzioni disegnati da cereblolesi di tutti i paesi,

E basta dire che CEO, CFO, o qualsiasi “C” level non hanno le competenze, perchè non regge.

Neanche di fronte alla legge.

Se sai guidare una macchina, ebbene hai appreso componenti giuridiche procedurali e tecniche ben più difficili di pensare in maniera un minimo sensata ai processi della tua azienda. Se sai usare il tuo nuovo TV 8K smart android allora si di informatica abbastanza per capire concetti impossibili come autenticazione, identificazione, autorizzazione. Quindi le scuse sono a 0.

Quandosi dice che la security è un probelma di processo e non di tecnologia significa che se hai disegnato il processo come lo avrebbe disegnato un bambino ritardato di 3 anni, allora il processo (legale) è quello che ti meriti.

Basta buonsimo e comprensione, si abbia il coraggio di dirlo: molti che si occupano dell’it sono dei dementi. Magari bravissimi su un prodotto ma da qui a saper disegnare processi e tecnologie sensate ne corre.

Molti che gestiscono le aziende hanno la stessa compresione del mondo in cui vivono e la relativa digitalizzazione di un paramecio (con rispetto parlando per i parameci) e se poi falliscono piangono senza capire…tutto tranne che prendersi le dovute e pagate responsabilità.

E diciamocelo una volta per tutte, IT e Security non stanno nella stessa lega. O sei parte della soluzione o sei parte del roblema. Non si può pretendere che vi sia la necessaria indipendenza e competenza se si mette la securty sotto l’IT. Nella migliore delle ipotesi se l’IT è sopra la security chi comanda non avrà interesse a capire cosa la security indica.

E, scusatemi se ho l’ardire di dirlo, security ed IT NON sono la stessa cosa, anzi si sfiorano, hanno elementi di overlapping, ma security ed IT hanno anime, conoscenze e scopi diversi.

E se volessi essere cattivo menzionerei il GDPR e i processi di privacy che NON corrispondono all’IT e NEANCHE alla security.

Lo so che chi legge si divide in 2 categorie:

  • Chi capisce già sa e o si rassegna o si incazza ma non si espone (tranne pochi suonati come me)
  • Chi non capisce, per lo più, perchè non vuole capire, fino a quando può dare la colpa ad altri…

La realtà è che siamo in un ambito complesso dove la conoscenza specifica di un pezzetto non significa avere la visione di insieme. Ma siccome chi “dovrebbe” avere la visione di insieme si arroga il diritto e l’onere di devidere avendo la visibilità di una minima parte i risultati sono quelli che viviamo oggi.

E siccome chi decide non ammette di aver deciso “male” la colpa, la reponsabilità e e richieste assurde vanno indirizzate su chi non ha ne strumenti ne scopo per risolvere il problema.

La ricetta per un disastro perfetto.



from WordPress https://ift.tt/2EjES63
via IFTTT

Nessun commento:

Posta un commento